Μια νέα καμπάνια κακόβουλου λογισμικού με την ονομασία SquidLoader στοχεύει ενεργά χρηματοπιστωτικά ιδρύματα στο Χονγκ Κονγκ . Αυτό το εξελιγμένο κακόβουλο λογισμικό επιδεικνύει σημαντικές δυνατότητες αποφυγής, επιτυγχάνοντας σχεδόν μηδενικά ποσοστά ανίχνευσης στο VirusTotal κατά τη στιγμή της ανάλυσης . Το SquidLoader χρησιμοποιεί μια αλυσίδα επίθεσης που καταλήγει στην ανάπτυξη ενός Cobalt Strike Beacon για απομακρυσμένη πρόσβαση και έλεγχο . Οι περίπλοκες τεχνικές anti-analysis, anti-sandbox και anti-debugging, σε συνδυασμό με τα αραιά ποσοστά ανίχνευσης, θέτουν σημαντική απειλή για τους στοχευμένους οργανισμούς .
Η καμπάνια SquidLoader ξεκινά με στοχευμένα μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) . Αυτά τα μηνύματα, γραμμένα στα Μανδαρινικά, μιμούνται χρηματοπιστωτικά ιδρύματα και περιέχουν ένα αρχείο RAR προστατευμένο με κωδικό πρόσβασης, μεταμφιεσμένο ως τιμολόγιο . Μόλις ανοιχτεί, οι χρήστες βρίσκουν ένα κακόβουλο PE binary καμουφλαρισμένο ως έγγραφο του Microsoft Word . Αυτό το αρχείο, ενώ είναι οπτικά παραπλανητικό, μιμείται το νόμιμο «AMDRSServ.exe» για να βοηθήσει στην κοινωνική μηχανική .
Μόλις εκτελεστεί, το SquidLoader ενσωματώνεται στο σύστημα και ξεκινά μια διαδικασία μόλυνσης πολλαπλών σταδίων στην οποία:
- Αποσυσκευάζεται για να αποκρυπτογραφήσει το εσωτερικό ωφέλιμο φορτίο.
- Επιλύει δυναμικά κρίσιμα Windows API μέσω κρυφού κώδικα.
- Αρχικοποιεί μια προσαρμοσμένη δομή βασισμένη σε στοίβα για την αποθήκευση επιχειρησιακών δεδομένων.
- Εκτελεί μια ποικιλία ρουτινών αποφυγής που έχουν σχεδιαστεί για να παρακάμπτουν τα εργαλεία sandbox, debugger και antivirus.
- Επικοινωνεί με έναν απομακρυσμένο διακομιστή εντολών και ελέγχου (C2) και κατεβάζει το Cobalt Strike Beacon .
Ένα από τα καθοριστικά χαρακτηριστικά του SquidLoader είναι η εκτεταμένη στρατηγική anti-analysis . Χρησιμοποιεί ελέγχους περιβάλλοντος, συσκότιση συμβολοσειρών, σύγχυση ροής ελέγχου και μη τεκμηριωμένες κλήσεις συστήματος των Windows για να παραμείνει κρυφό . Το κακόβουλο λογισμικό τερματίζεται εάν εντοπιστούν γνωστά εργαλεία ανάλυσης ή διαδικασίες antivirus, συμπεριλαμβανομένων των «windbg.exe», «ida64.exe» και «MsMpEng.exe» .
Για να παρακάμψει τους εξομοιωτές και τα αυτοματοποιημένα sandboxes, το SquidLoader εκκινεί threads με μεγάλες διάρκειες αναστολής λειτουργίας και χρησιμοποιεί ασύγχρονες διαδικασίες .
Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν ένα νέο κακόβουλο λογισμικό που ονομάζεται SquidLoader, το οποίο διαδίδεται μέσω καμπανιών ηλεκτρονικού ψαρέματος που στοχεύουν κινεζικούς οργανισμούς . Το κακόβουλο λογισμικό χρησιμοποιεί διάφορες τεχνικές αποφυγής και παραπλάνησης για να παραμείνει κρυφό και να αποφύγει την ανίχνευση .
Οι οργανισμοί θα πρέπει να είναι προσεκτικοί απέναντι στις απόπειρες ηλεκτρονικού ψαρέματος και να επαληθεύουν την ταυτότητα του αποστολέα πριν ανοίξουν συνημμένα ή κάνουν κλικ σε συνδέσμους . Η ανακάλυψη του SquidLoader υπογραμμίζει τη σημασία της επαγρύπνησης απέναντι στις εξελισσόμενες κυβερνοαπειλές και την ανάγκη για ισχυρά μέτρα κυβερνοασφάλειας για την προστασία ευαίσθητων δεδομένων και συστημάτων .